金融業におけるセキュリティ対策

金融業界がサイバー攻撃の最前線に立たされている理由

近年、金融業界において様々なサイバーインシデント事案が発生しています。ここでは、なぜ金融業界が特にサイバー攻撃の標的になるのかという点に加え、近年の脅威動向を解説します。

攻撃対象としての金融業の価値（顧客データ・資金）

金融機関では、顧客の氏名や住所、口座番号、取引履歴、信用情報など膨大な個人情報を取り扱います。これらの情報は、高額な詐欺や不正利用などに利用されることがあり、サイバー攻撃者にとっては非常に価値のある情報であるといえます。

もしサイバー攻撃を受けて個人情報が漏洩してした場合には、IDの不正利用やクレジットカード詐欺、金融詐欺など様々なリスクが生じます。このような重大インシデントが発生した場合、その金融機関は信用を失うとともに、決済システムの混乱など経済活動にも大きな影響を与えかねないといえます。

高度化・巧妙化するサイバー脅威の動向

金融機関を狙うサイバー攻撃の手口は、近年高度化・巧妙化している傾向があります。

例えばランサムウェア攻撃の場合、従来は明確な標的を定めずに無作為に感染を試みる攻撃だったものが、現在ではより大金を得るために組織だけではなく、システムや情報など明確に狙いを定めて実行されるようになっています。

また、金融機関におけるサプライチェーン攻撃も問題となっています。これは、ターゲットとなる金融機関がセキュリティ対策を行っていたとしても、関連企業や取引先の中にセキュリティ対策が脆弱な部分があればそこを踏み台として攻撃されるものです。これは、近年のサプライチェーンの複雑化・グローバル化が要因として考えられます。

そのほか、APT（持続的標的型攻撃）といって特定の組織や個人を長期間にわたり狙い、高度な技術を使って侵入して情報を盗み出す・システムを破壊するといった、巧妙かつ悪質なサイバー攻撃も発生しています。

参考：金融庁｜金融分野におけるサイバーセキュリティ強化に向けた取組方針（https://www.fsa.go.jp/news/r3/cyber/cyber-policy.pdf）

金融業におけるセキュリティリスクの特徴と実例

ここでは、金融業界において実際に発生したインシデント事例を紹介するとともに、どのようなリスクが考えられるのかを解説していきます。

金融機関で発生したサイバー攻撃事例

<%-- H3直下にPタグがないため、このセクションにはspanを設置しません --%>

外部委託先へのDDoS攻撃の事例

外部委託先が運営するホスティングサービス上で稼働している特定サイトに対し、大量のトラフィックが流入。回線帯域の逼迫が生じたため、ホスティングサービス全体のインターネット接続に影響が出ました。その結果、ホームページやアプリが閲覧不可、利用不可に。IB、電子記録債権サービス、投資インターネットサービスなどからログインができなくなる状況が発生しました。

参照元：金融庁｜金融機関のシステム障害に関する分析レポート（https://www.fsa.go.jp/news/r5/sonota/20240626/01.pdf）

マルウェア感染による個人データの流出

ファイル転送サービスのサーバが、ゼロデイ脆弱性を悪用した攻撃者により侵害された事例です。不正アクセスによりマルウェアに感染し、システムで転送されるファイルへのアクセスおよびダウンロード権限を持つアカウントが作成され、従業員の個人データが流出しました。

参照元：金融庁｜金融機関のシステム障害に関する分析レポート（https://www.fsa.go.jp/news/r5/sonota/20240626/01.pdf）

インターネットバンキング・フィンテック連携の脆弱性

現在、利便性の向上につながるとしてインターネットバンキングやAPI連携などを活用したフィンテックサービス（決済・送金・資産管理アプリなど）の普及が進んでいます。

非常に便利なサービスではあるものの、例えば多要素認証を使用していないサービスの場合は不正送金につながる可能性があります。また、フィンテックサービスには複数のサービスが紐づいていることも多く、1か所で不正な侵入を許してしまった場合には、他のサービスに波及する可能性が高いといえます。

内部不正・ヒューマンエラーのリスクも深刻

金融機関におけるリスクは、外部からの攻撃だけではありません。内部不正・ヒューマンエラーが重大なセキュリティインシデントにつながってしまうリスクも依然として高いといえます。内部関係者による情報の持ち出しや権限の悪用などの不正行為、従業員による不注意や誤操作などがこれにあたります。

このようなリスクを防ぐためにも、内部統制への取り組みや従業員へのセキュリティ教育が重要です。

金融業界に必要なセキュリティ対策の全体像

サイバー攻撃から組織を守るには、どのようなセキュリティ対策に取り組むべきなのかをまとめました。技術的な側面や経営戦略的な側面、サプライチェーン管理の側面から解説していきます。

実務担当者が押さえるべき技術的対策

金融機関におけるセキュリティ対策として、実務レベルにて求められる対策には様々なものがあります。例えば、重要なシステムでは多要素認証の導入やアクセス制御の厳格化、暗号化接続などを用いることや、ハードウェア・ソフトウェアの脆弱性管理を行い、必要に応じた見直しの実施などが求められます。

また、外部からの攻撃に備えて、ネットワーク内の不正アクセスや異常な通信を検知・通知する侵入検知・防御システム（IDS/IPS）の導入やSIEM/SOARによるログ監視・分析を行うことも重要です。

さらに、セキュリティインシデントが発生した場合に組織ではどのように対応するかといった体制作りへの取り組みも必要となります。

経営層・マネジメントが取るべき戦略的対策

経営層や管理職が主導すべき戦略的なセキュリティ対策としては、情報資産を適切に管理し、セキュリティリスクを最小限に抑えるためのセキュリティガバナンス体制の構築が挙げられます。情報セキュリティポリシーの策定・徹底やリスク管理などによって、企業全体のセキュリティ環境の向上が期待できます。

また、経営層・管理職が行うべき取り組みとしては、セキュリティ対策に必要な十分な予算とリソースの確保、万が一インシデントが発生した際の事業継続計画（BCP）、規制当局との連携のほか、セキュリティ投資効果の評価などが挙げられます。

外部委託先・取引先リスクのマネジメント

サプライチェーン全体を考慮したセキュリティ対策も非常に重要なポイントです。例えば、システム開発・運用、データ処理などを外部委託するケースも多く見られますが、委託先や協業先のセキュリティ対策が不十分であることが自組織のリスク（サプライチェーンリスク）になる可能性も考えられます。

この点から、委託先を選定する際の基準の明確化や、契約締結時にセキュリティ要件を盛り込む、定期的な監査や評価を実施するなどの対策が必要となります。

セキュリティ研修の重要性と選び方【金融業向けの視点で解説】

金融業界における人的セキュリティ対策の要は「セキュリティ研修」です。ここでは、研修の重要性や対象者別に求められる内容、注目しておきたい資格に関する情報をまとめました。

実務層向け：脅威への即応力を高めるための技術研修

セキュリティ担当者、IT・システム開発担当者、インシデント対応チームなど実務層向けの研修としては、脅威にすぐに対応する力を高める技術研修が必要となります。具体的には、下記のような内容に関する研修が考えられます。

サイバー攻撃の動向を知るための最新の攻撃手法の分析
万が一に備えたインシデントハンドリング演習
セキュアなシステムを構築するためのセキュアプログラミング
クラウド環境における情報セキュリティを学ぶクラウドセキュリティ
内部不正・情報漏洩などのインシデント発生時に行う調査を学ぶフォレンジック調査入門

マネジメント層向け：組織全体を守るための判断力育成

経営層や部門長、リスク管理担当者などマネジメント層向けの研修としては、組織全体を守る判断力等の育成を目指す内容が求められます。組織のセキュリティ対策に向け、戦略的視点での判断力を向上させることが必要となりますが、具体的には下記のような研修内容が考えられます。

サイバーリスクと経営戦略を学ぶ
インシデントが発生した際の危機管理や意思決定
セキュリティ関連法規やガイドラインを理解する
セキュリティ投資の考え方を学ぶ
組織的なセキュリティの文化醸成に取り組む

金融業界で注目される研修資格（CompTIA, CISSP, CISA など）

金融機関において高い評価を受けている、または関連性が深いセキュリティ関連資格としては、下記のようなものが挙げられます。

CompTIA
ネットワークやセキュリティ、セキュリティ、クラウド、データ分析など様々な分野に対応した資格が存在。業界を問わない汎用的なIT知識を身につけられます。
CISSP（Certified Information Systems Security Professional）
ISC2が認定する、国際的に認められた情報セキュリティ・プロフェッショナル認定資格。広範囲な知識レベルを必要とする資格であり、セキュリティ業務従事者から管理職者までが対象。セキュリティ専門家としてのスキルを裏付けられます。
CISA（Certified Information Systems Auditor）
情報システムの監査やセキュリティ、コントロールに関連する高度な知識やスキル、経験を持つプロフェッショナルを認定する国際的な資格です。日本語では「公認情報システム監査人」と称されています。
CISM（Certified Information Security Manager）
情報セキュリティマネジメントにおける知識・経験の認定を行う国際的な資格です。日本語では「公認情報セキュリティマネージャー」と呼ばれます。情報セキュリティガバナンスやリスク管理、セキュリティプログラムの開発や管理において高度な知識や実務経験が求められます。

金融業に適した研修の選び方と評価軸（コスト・対象レベル・実績）

金融機関において組織に合った研修を選ぶには、下記のようなポイントがあります。

研修を実施する目的と対象者レベルを明確化する
金融業界特有の規制やコンプライアンス要件などへの対応
講師の専門性や金融業界における経験
実践的な演習があるかどうか
研修の提供形態
費用対効果
研修と認定資格との連携

上記のようなポイントを抑えながら研修を選んでいくことがおすすめといえます。

継続的なセキュリティ強化に向けて

セキュリティ研修の実施後は、それを一過性のものとしないためにも組織全体のセキュリティレベルを継続的に向上させる取り組みが必要となります。ここでは、どのような取り組みが考えられるのかをまとめました。

現状分析とギャップ診断のすすめ

研修を行う上では、まず組織のセキュリティ対策の現状について客観的に評価を行うことが重要です。その上で、目標レベルや規制要件などあるべき姿とギャップを把握することで、どのような研修やセキュリティ対策を行ったら良いかの判断ができます。

客観的な評価の方法としては、FISC安全対策基準などをベンチマークとして自己評価を行う、外部専門家によるセキュリティ診断、脆弱性診断などを行うといった方法があります。

セキュリティ文化を根づかせるための社内展開方法

研修を行うのみで終わらせるのではなく、そこで得た知識やセキュリティに対する意識を組織全体に浸透させることによって「セキュリティ文化」として根付かせていくことが重要といえます。具体的な方法としては、下記の取り組みが挙げられます。

経営層から継続的にメッセージを発信する
定期的に社内報などを用いて情報共有を行う
セキュリティ啓発を目的としたポスターを掲示する
インシデント事例の共有と教訓化を行う
報奨制度を導入する
部署を横断したワーキンググループを設置する

継続的な研修・アップデート体制の構築

セキュリティに関する脅威や技術は常に変化していることから、研修後は継続的に知識やスキルをアップデートしていく体制づくりも必要となります。ここでは、定期的なフォローアップ研修を実施するほか、eラーニングを活用して各自が学習できる環境を提供する、最新情報の収集や共有できる体制を作る、資格の維持や更新制度などを導入するなどの方法が考えられます。

まとめ｜信頼を守り抜くための第一歩

まずは自社の現状把握と課題特定から

金融機関はサイバー攻撃の標的となりやすい業界であるため、顧客や取引先からの信頼を守るには、経営層から現場までが一体となり、継続的にセキュリティ対策に取り組んでいくことが非常に重要であるといえます。

そのためには、現状分析や診断を通じて組織の現状とセキュリティにおける課題を把握することが大切です。まずはどのような対策や研修が必要なのかを知るためにも、情報の収集や専門家への相談などを行い、現状把握と課題の特定から始めてみてください。

サイバーセキュリティ研修会社
おすすめ3選を見る